Reconnaître et déjouer les fraudes à l’ingénierie sociale

Reconnaître une fraude au président ou au dirigeant

L’escroc usurpe l’identité d’un dirigeant ou prétend agir sur son ordre. Il demande à un collaborateur d’effectuer en urgence un virement, sous prétexte d’un rachat d’entreprise, d’une OPA (Offre Publique d’Achat), d’une dette à régler, de l’exécution d’un contrat ou toute autre situation d’urgence.

Certains points doivent vous alerter :

  • la demande est présentée comme urgente et confidentielle (il pourra être demandé de passer sur un numéro de téléphone privé le cas échéant pour plus de confidentialité);
  • usage de la flatterie, de l’autorité ou de l’intimidation;
  • recours à une tierce personne (faux notaire ou faux avocat) qui indiquera l’opération à réaliser;
  • caractère inhabituel du montant, du bénéficiaire et du pays destinataire des fonds;
  • utilisation abondante de détails sur l’entreprise pour rassurer;
  • proposition de passer sur un numéro de téléphone privé;
  • exigence de confidentialité concernant la demande afin d’éviter toute fuite.

En savoir plus sur la fraude au dirigeant

Reconnaître une fraude aux modifications des coordonnées bancaires

L’escroc usurpe l’identité d’un fournisseur ou bailleur de l’entreprise. Il indique avoir changé ses coordonnées bancaires et souhaite donc que l’entreprise les mette à jour. Il pourra ainsi détourner à son profit le paiement des prochaines factures ou loyers de la personne usurpée.

Certains points doivent vous alerter :

  • transmission, pour rassurer, d’informations précises, comme une vraie facture en cours dont l’IBAN aura été modifié;
  • changement soudain des coordonnées bancaires;
  • pays inhabituel de l’IBAN qui peut être incohérent par rapport à la localisation de la société usurpée.

Reconnaître une fraude au faux technicien

L’escroc peut aussi usurper l’identité d’un technicien d’un service informatique. Cette fraude peut intervenir lorsque le client a téléchargé un virus qui bloque son écran. En allumant son ordinateur, son écran affiche un numéro de téléphone à appeler.

Dans ce scénario, l’escroc usurpe l’identité d’un technicien de la banque (technicien du service informatique par exemple). Il indique devoir faire des vérifications et demande à prendre le contrôle du poste informatique à distance. Il pourra demander l’exécution d’un virement « test » par exemple.

Certains de ces points doivent vous alerter :

  • réception d’un appel de techniciens non sollicités;
  • demande de prise de poste à distance et celle de cliquer sur un lien hypertexte.

Reconnaître une fraude aux fausses administrations

Dans ce cas, l’escroc usurpe l’identité d’une administration, tous services confondus mais particulièrement celui de la Direction générale des Finances publiques (DGFiP). Le fraudeur vous envoie par e-mail ou courrier de faux formulaires faisant référence à des articles du Code général des impôts dans le but de vous soutirer des informations et de l’argent.

Certains de ces points doivent vous alerter :

  • informations figurant sur le courrier ou le e-mail ressemblantes mais incorrectes comme l’adresse e-mail, le numéro de téléphone, etc. attention le style et le visuel des messages officiels sont très souvent repris et imités;
  • réception de demandes de règlement de factures prétendument non payées, alors que vous avez pour habitude de régler les factures par virement bancaire;
  • réception d’une demande d’accompagnement à l’enregistrement EORI (numéro d’identification et d’enregistrement des opérateurs économiques) contre un paiement.

Les bonnes pratiques pour vous protéger

Ces scénarios reposent sur une connaissance précise de l’entreprise et de son organisation.

  • Sensibilisez les collaborateurs sur les informations qu’ils divulguent sur l’entreprise, notamment sur les réseaux sociaux.
  • Protégez votre système d’information pour empêcher les piratages informatiques.
  • Sensibilisez les services comptables et financiers, mais aussi le secrétariat et le standard, pour repérer les appels suspects.
  • Vérifiez l’adresse mail du dirigeant dont la terminaison est souvent différente de celle qu’il utilise habituellement.
  • Organisez des procédures de validation engageant plusieurs personnes (saisie et validation) par exemple.
  • Utilisez vos moyens d’authentification ou de signature. Ils sont personnels : ne les confiez jamais à personne. Refusez de saisir ou de valider une opération avec une authentification qui ne vous appartient pas.
  • Recontactez votre interlocuteur par les moyens habituels et demandez confirmation de la demande : rappelez ou écrivez directement en utilisant le carnet d’adresse de l’entreprise.
  • Ne cédez pas à l’impératif d’urgence, prenez le temps de faire les vérifications d’usage.
  • Refusez une demande de prise de contrôle à distance de votre poste informatique.
  • En période de vacances, redoublez de vigilance et répétez les consignes.

En cas de suspicion de fraude ou de fraude avérée : réagissez !

Appelez immédiatement votre banquier privé.

En cas d’attaque informatique, déposez également une plainte auprès des forces de l’ordre en apportant tous les éléments à votre disposition.